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PCT No. PCT/FR95/00935 Sec. 371 Date Mar. 7, 
1996 Sec. 102(e) Date Mar. 7, 1996 PCT Filed 
Jul. 11, 1995 PCT Pub. No. WO96/02899 PCT 
Pub. Date Feb. 1, 1996The invention relates to 
systems for checking access limited to authorized 
time slots renewable by means of a portable 
storage device. The system comprises, for this 
purpose, an element (LE) producing electronic 
keys formed by a data element pertaining to a 
time slot and by the signature of this data 
element. These keys are loaded into devices 
such as memory cards (C). Electronic locks (L) 
capable of verifying the signatures are implanted 
in the different (physical or logical) locations, the 
access to which has to be guarded. Application to 
the checking of access to buildings or computer 
systems. 
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Die Erfindung betrifft ein Zugangskontrollsystem mit 
autorisierten und mittels eines Speichertragera erneuerbaren 

Stundenbereichen . 

Die Erfindung betrifft insbesondere das Gebiet der 
Zugangskontrolle von Gebauden, Informatiksystemen oder alien Arten 
von anderen Syatemen, deren Benutzung kontrolliert werden muS. 

Die bekannteste Art, einen Zugang zu verachlieSen, besteht 
darin, ein mechanisches SchloS anzubringen und den Personen mit 
Zugangsberechtigung einen Schlussel auszuhandigen, wobei es sich 
um ein Gebaude oder irgendein anderes Objekt handeln kann. 
Selbatverstandlich beruht der Nachteil dieser Methode auf der 
Tatsache, daS die mechaniachen Schluasel leicht zu duplizieren 
aind. Ein aolcher Schlussel kann auch gestohlen und vom Dieb 
benutzt werden, wobei dann die einzige Abhilfe darin beateht, den 
Zylinder des Schlosses auszutauschen. 

Eine zweite Methode, aber diesmal elektronisch, beateht 
darin, eine SchloS mit einer PaSwort vorzusehen. Nur die Benutzer, 
die daa PaSwort kennen, konnen daa geschutzte Gebaude betreten. 

Leider iat dieae LSaung nicht aicher. Wenn z.B. ein 
Benutzer sein PaSwort auf einer Taatur eingibt, ist ea ohne 
weiterea moglich, dieaea PaSwort mit einer entaprechenden 
Elektronik zu lesen, so daS eine Person mit schlechten Absichten 
es miSbrauchlich benutzen kann. 

AuSerdem ist bekannt, den Zugang zu Computerprogrammen 
mittels eines PaSworta zu achutzen. Dieaer Schutz hat den 
vorhergehend erwahnten Nachteil . 

Man kennt auch ein Authentiaierungaverf ahren, Kerberoa 
genannt, daa ermoglicht, den Zugang zu einem offenen Datennetz zu 
achutzen. Eine Beachreibung dieaea Verfahrena findet man in der 
MIT-Veroffentlichung vom 30. Marz 1988 mit dem Titel "An 
Authentication Service for Open Network Syatema". 

Dieaes Verf ahren ermoglicht, einen "Kunden", d.h. einen 
Benutzer zu identif izieren und ihm einen Zugang zu einem Server zu 
ermoglichen (zu einer Dienstleistung, einer Anwendung, einem 
Programm), indem es ihm dazu ein elektronisches Ticket und noch 
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genauer eine mit einem Schlussel verschlusselte Information 
liefert. Dieses Ticket wird durch den Server des "Kunden" 
erstellt. Andererseits reicht das Ticket nicht aus fur eine 
Zugangserlaubnis und es wird bei diesem Verfahren zusammen mit dem 
Ticket noch eine zwei.te verschlusselte Information benutzt. 

Ein solches Verfahren ist schwerfallig und verlangt relativ 
leistungsstarke Recheneinrichtungen, was kein Hindernis ist bei 
der vorgesehene Anwendung, aber ein solches werden kann fur andere 
Anwendungen, namlich solche Anwendungen, bei denen der Speicher- 
platz und die Recheneinrichtungen nicht so grofi sind wie bei einem 
Server. 

Die zweite verschlusselte Information wird erstellt fur 
einen Zugang zwischen einem Kunden und einem Server und kann nur 
einmal fur diese Verbindung benutzt werden. 

Man kann sich aufierdem auf das Dokument EP-A-0 122 244 aus 
dem Stand der Technik beziehen, das der vorliegenden Erfindung am 
nachsten kommt. 

Die vorliegende Erfindung hat die Aufgabe, die oben 
genannten Nachteile zu beseitigen. 

Aufierdem ist es erf indungsgemafi nicht notig, eine schwarze 
Liste verlorener oder gestohlener oder duplizierter Zugangsein- 
richtungen zu erstellen und zu verwalten, wie die Folge der 
Beschreibung zeigt, denn ein verlorener oder gestohlener Trager 
kann keine Zugangsberechtigung aufierhalb des autorisierten 
Stunden- bzw. Zeitbereichs lief em, wenn diese nicht erneuert 
wird. Die Aufnahme eines solchen Tragers in eine schwarze Liste 
ist umso nutzloser, je kurzer die Zugangsberechtigungsdauer ist. 

ErfindungsgemaS erfolgt die Zugangskontrolle nicht durch 
mechanische Einrichtungen sondern durch logische Einrichtungen 
mittels einer elektronischen Signatur von Daten bezuglich einer 
vorher festgelegten Zugangsberechtigungsperiode, die die 
Benutzungsgultigkeit des Tragers begrenzt, in dem sie abge- 
speichert ist. Erf indungsgemafi wird die Signatur namlich in dem 
tragbaren Speicherungstrager abgespeichert , ebenso wie - je nach 
benutztem Algorithmus die Grofie urn den Zugang zu alien Geraten 
zu ermoglichen, die das erf indungsgemafie Sicherungssystem 
enthalten. 



Die vorliegende Erfindung hat insbesondere ein 
Zugangskontrollsystem nach Anspruch 1 zum Gegenstand. 

Der Begriff der elektronischen Signatur bzw. Unterschrift 
muS hier im im weiteren Sinne verstanden werden. Es kann sich urn 
eine elektronische Signatur handeln, die mit Hilfe irgendeines 
bekannten Verschlusselungsmechanismus zustande kommt, namlich 
Chiffrier- oder Authentisierungsverf ahren. 

Vorzugsweise umf aSt die die vorher f estgelegte 
Gultigkeitsperiode betref fende Grofie DH eine Benut zungsdatums - 
information und einen Benutzungzeitbereich. 

Nach einer Ausf uhrungsart werden meherere Signaturen Sj 
durch die Schlusselerstellungseinrichtungen (S) berechnet und 
aufgezeichnet auf den Tragern der Benutzer, wobei man diese 
Signaturen aus demselben Geheimschlussel K und einer Erzeugungs- 
funktion f wie SJ = f (K, DH, aj) erhalt und die Parameter aj dabei 
vorher festgelegt und in den elektronischen Verriegelungen 
abgespeichert werden. Man begrenzt nach dieser Ausf uhrungsart die 
Anzahl der Zugange eines Benutzers in der betref fenden Periode. 
Dieser hat ebensoviele Zugangsberechtigungen wie die Anzahl der 
fur die betreffende Periode berechneten und auf seinem Trager 
abgespeicherten Signaturen. Fur jeden Zugang ist eine Signatur 
erforderlich. 

Nach einer Ausf uhrungsart erhalt man die Signatur mittels 
eines Erzeugungsalgorithmus mit geheimem Schlussel . 

Nach einer anderen Ausfuhrungsart kann man die Signatur 
mittels eines Erzeugungsalgorithmus mit offentlichem SchlGssel 
herstellen. 

ErfindungsgemaS wird die Signatur in dem Anwendungsfall der 
offentlichen Benutzung vorzugsweise mit einem Algorithmus mit 
offentlichem Schlussel hergestellt, d. h. in dem Fall, wo die 
Oberprufung der Signatur durch Einrichtungen erfolgt, die offent- 

lich zuganglich sind. 

Nach einer weiteren Ausfuhrungsart ist der zum Erstellen 
der Signaturen benut zte Schlussel derselbe fur alle Signaturen, 
die in den Tragern geladen sihd und emeuert werden. 

Nach einer weiteren Ausfuhrungsart der Erfindung ordnet man 
diesem Schlussel K eine GroSe Z zu, verschieden je nach 



geographischer oder logischer Benutzungszone, urn diese Benutzungs- 
zonen unterscheiden zu konnen. 

Nach einer weiteren Ausfuhrungsart benutzt man verschiedene 
Schlussel, um die periodisch geladenen Signaturen zu erstellen, 
wobei pro festgelegter geographischer oder logischer Zone ein 
Schlussel erstellt wird. 

Nach einer anderen Charakteristik der Erf indung kann man 
einen diversif izierten Schlussel Kc benutzen, erzeugt mittels 
einer Diversif ikationsfunktion bekannten Typs. 

Nach einer weiteren Charakteristik der Erfindung unterteilt 
man den festgelegten Gultigkeitszeitbereich in eine bestimmte 
Anzahl von aufeinanderfolgenden Stunden- bzw. Zeitbereichen und 
erstellt eine Signatur Si fur jeden dieser Bereiche. 

Die Erfindung wird besser verstandlich durch die 
nachfolgende, erlauternde und nicht einschrankende Beschreibung, 
bezogen auf die beigefugten Zeichnungen: 

- die Figur 1 stellt ein Prinzipschaltbild eines erf indungsgemafien 
Systems dar, 

- die Figur 2 zeigt das praktische Ausfuhrungsschaltbild der 
Kontrolleinrichtungen der elektronischen Schlussel nach der 
Erfindung, 

- die Figur 3 zeigt das praktische Ausfuhrungsschaltbild eines 
erfindungsgemafien Speicherungstragers . 

In der Folge der Beschreibung versteht man unter Signier- 
Entitat oder berechtigter Entitat die Erstellungseinrichtungen der 
elektronischen Schlussel, d.h. der Paare S, DH (elektronische 
Signaturen und GroSen) , wobei diese Einrichtungen aufierdem das 
Laden dieser Signaturen in die Speicherungstrager ermoglichen. Man 
versteht unter elektronischer Verriegelung die Kontrollein- 
richtungen der in den Speicherungstragern gelesenen GroSen. 

Die Signier-Entitat ist erf indungsgemaS fahig, eine 
elektronische Signatur S mittels einer Erzeugungsfunktion f und 
eines geheimen Schliissels K zu erzeugen. 

Die elektronische Signatur einer GroSe DH durch die 
Signier-Entitat kann S = f (K, DH) geschrieben werden. 

Damit die Signatur der Signier-Entitat durch jede der den 
Zugang gewahrenden logischen Verriegelungen uberpruft werden kann, 
verfugen diese Verriegelungen uber adaquate Verschlusselungsein- 



richtungen. Diese Einrichtungen umfassen einen Pruf algorithmus f 
und einen Pruf schlussel K' , der, je nach dem, ob der 
Signaturalgorithmus eineri geheimen Schlussel oder einen dffent- 
lichen Schlussel aufweist, gleich dem geheimen oder df f entlichen 
Schlussel der Signier-Entitat ist. Im ersten Fall hat man folglich 
K = K' ; im zweiten Fall ist es bei Kenntnis von K' unmoglich, 

daraus K abzuleiten. 

Je nach vorgesehenen Anwendungen befinden sich die 
elektronischen Verriegelungen in einer offentlich zuganglichen 
Umgebung oder in einer abgeschlossenen Umgebung . Wenn die 
elektronischen Verriegelungen sich in einer offentlichen Umgebung 
befinden, benutzt man vorzugsweise einen Algorithmus mit 
offentlichem Schlussel, so dafi diese elektronischen Verriegelungen 
keine geheime Information enthalten und es keinen Grund gibt, 
ihren Inhalt mit betrugerischer Absicht zu lesen. Derart wird die 
Sicherheit des Systems erhoht und Vandal ismus, da gegenstandslos, 
vermieden. 

Der Speicherungstrager hat dann erf indungsgemaS die 
Funktion eines elektronischen Schlussels, der alle elektronischen 
Verriegelungen offnen kann, die uber ein gesamtes Gebiet oder in 
einer speziellen Zone eingerichtet sind. Erf indungsgemaS erhalt 
man den elektronischen Schlussel aus einer eine bestimmte 
Zugangsberechtigungsperiode betreffenden GroSe, die die Gultigkeit 
des Tragers begrenzt. Diese Periode umfafit z.B. Datum und Stunde 
des Beginns des Zeitbereichs und Datum und Stunde des Endes des 
Zeitbereichs, in der Folge DH genannt. Es kann sich auch urn ein 
Datum und eine Stunde des Endes der Berechtigung handeln. Bei der 
Zugangskontrolle uberpruft die elektronische Verriegelung, die 
vorteilhafterweise mit einer internen Uhr versehen ist, ob die 
laufende Datum/Zeit- Information sich innerhalb des Bereichs 
befindet, und uberpruft dann die Signatur mit Hilfe des 
Pruf schlussels (geheim oder dffentlich, je nach Fall), uber den 
sie verfdgt. Wenn beide Prufungsbedingungen erfullt werden, sendet 
die Verriegelung ein Zugangsberechtigungssignal A. 

Wenn z.B. ein Geheimschlussel-Algorithmus benutzt wird, 
liest die elektronische Verriegelung den in dem Speicherungstrager 
aufgezeichneten Bereich DH, liest mittels ihrer internen Uhr die 
laufende Datums- und Stundeninformation und uberpruft, ob diese 



Information sich innerhalb des in dem Trager gelesenen Bereichs 
befindet, und berechnet dann eine Signatur S' = f (K, DH) . Die 
Verriegelung liest ebenfalls die Signatur, die in dem Trager 
abgespeichert ist und uberpruft, ob die berechnete Signatur gleich 
der gelesenen Signatur ist oder nicht. 

Falls man einen Algorithmus mit offentlichem Schlussel 
benutzt, liest die elektronische Verriegelung die den Zeitbereich 
DH betreffende Grofie, liest das Datum und die Stunde ihrer 
intemen Uhr und uberpruft , ob dieses Datum und diese Stunde sich 
auch innerhalb des in dem Trager gelesenen Bereichs befindet. Die 
elektronische Verriegelung liest ebenfalls die in dem Trager 
gespeicherte Signatur S und uberpruft mit Hilfe der Prufungs- 
funktion f und des K zugeordneten offentlichen Schliissels K' , ob 
diese Signatur S wirklich die Signatur der GroSe DH ist, was 
folgendermafien ausgedruckt werden kann: 

f» (K' , DH, S) = "OK", 
wobei die Information "OK" in der Praxis einem Bit mit 1 oder mit 
0 entspricht, je nach gewahlter Konvention. 

In der Folge werden praktische Ausfuhrungsbeispiele 
detailliert beschrieben. Zum besseren Verstandnis kann man sich 
auf die Figuren 1 bis 3 be Ziehen. 

Wie schon erwahnt, ermoglicht das erf indungsgemafie System, 
das Fuhren von schwarzen Listen und deren Verwaltung bei jeder 
Zugangsanfrage z.B. zu Gebauden oder Informatiksystemen oder jeder 
anderen Art von Objekten, wie dies bei den Techniken der 
vorhergehenden Technik erforderlich ist, zu vermeiden. 

Urn dieses Ziel zu erreichen, ersetzt die Erfindung die mit 
einem mechanischen Schlussel verbundenen traditionellen mechani- 
schen Zugangseinrichtungen durch eine logische Einrichtung, die 
auf einer elektronischen Signatur beruht, berechnet durch eine 
berechtigte Entitat, die dazu einen geheimen Schlussel K erhalten 
hat . 

Die Erfindung besteht daher aufierdem darin, in jeden Trager 
eine elektronische Signatur zu laden. Die durch diese elektro- 
nische Signatur signierte Grofie umfafit eine Grofie, die eine 
festgelegte Benutzungsgiiltigkeitsperiode betrifft. Aufierhalb 
dieser Benutzungsgiiltigkeitsperiode wird die Signatur nicht mehr 
erkannt und der Zugang wird folglich nicht freigegeben. Wenn nicht 



das Laden einer neuen Signatur stattgefunden hat, wird der Zugang 

nicht mehr freigegeben. 

In Figur 1 ist das Schaltbild eines erf indungsgemaSen 
Systems dargestellt. Dieses System umfaSt Erzeugungseinrichtungen 
elektronischer Signaturen LE. In der Praxis konnen diese 
Einrichtungen durch einen Leser-Codierer gebildet werden, der 
einen Mikroprozessor oder einen Mikrocontroller umfaSt, 
programmiert urn einen Erzeugungsalgorithmus f durchzufuhren. Es 
kann sich z.B. um einen Algorithmus mit geheimem Schliissel oder 
einen Algorithmus mit bekanntem offentlichem Schliissel handeln. 

Man kann z.B. als Geheimschlussel -Algorithmus den Algorith- 
mus DES (Data Encrytion Standard) nennen und als Of fentlicher- 
Schlussel -Algorithmus den Algorithmus RSA (Rivest Shamir Adleman) . 

In der Folge der Beschreibung werden diese Algorithmen 
durch eine Funktion f dargestellt. 

Der Leser/Codierer ermdglicht auSerdem, die Signaturen in 
die Speicherungstrager zu laden. Dazu wahlt man einen bekannten 
und an den gewahlten Speicherungstrager angepaSten Leser/Codierer. 
Beispielsweise kann man auf dem Markt vorhandene Leser/Codierer 
nehmen, die ermdglichen, eine Magnetkarte oder eine Speicherkarte 
mit bundig eingelassenem Kontakt zu lesen und zu beschreiben, oder 
einen Leser/Codierer, angepaSt an das Lesen und Beschreiben eines 
elektronischen Schlussels mit bundig eingelassenem Kontakt, oder 
einen Leser/Codierer, angepaSt an das Lesen und Beschreiben von 

Karten ohne Kontakt. 

Das in Figur 1 dargestellte Beispiel zeigt das elektro- 
nische Schaltbild eines Leser/Codierers, der an das Lesen und 
Beschreiben eines Speicherungstragers des Typs Speicherkarte 
angepaSt ist. 

Dieser Leser/Codierer-Typ ist bekannt und umfaSt einen 
Mikroprozessor 100 (oder Mikrocontroller) mit einem zugeordneten 
Programmspeicher 101 des Typs ROM oder EPROM (elektrisch loschbar) 
und eventuell einen Arbeitsspeicher 102 des Typs RAM. 

Dieser Leser/Codierer LE umfafit ein Eingang/Ausgang- 
Interface 103, angepaSt an den Speicherungstrager. Es umfaSt im 
Falle eines kontaktlosen Schreib-/Lesetragers eine Sende- 
Empfangsantenne. Er umfaSt Kontakte, die angepaSt sind an die 
bundig eingelassenen Kontakte wie z.B. diejenigen der Chipkarten 



Oder der elektronischen Schlussel. Dieser Leser umfafit aufierdem 
eine nicht dargestellte Tastatur. 

Der nichtfluchtige Speicher 101 des Leser/Codierers LE 
enthalt das Anwendungsprogramm der gewahlten Funktion f und ein 
klassisches Lese- und Schreibprogramm fur einen Speicherungs- 
trager. Der Schlussel K wird ebenfalls in diesem Speicher 
aufgezeichnet . 

Die berechnete Signatur kann dieselbe sein fur alle Trager. 
Wenn die Signatur S die Signatur einer Grofie DH ist, bedeutet 
dies, daS diese Grofie DH dieselbe fur alle Trager ist. 

Die berechneten Signaturen konnen fur jeden Trager ver- 
schieden sein. 

Die fur jeden Trager bestimmten Signaturen S konnen dann im 
voraus berechnet werden oder nach und nach. Falls sie im voraus 
berechnet werden, mussen die jede Anwendung betreffenden GroSen DH 
in einem nichtf luchtigen Speicher des Leser/Codierers aufge- 
zeichnet werden. In diesem Falle wird auch eine Tabelle 
gespeichert, urn fur jede Anwendung das Paar: Signatur S-Grofie DH, 
das ihr zugeteilt ist, in Ubereinstimtnung zu bringen. 

In diesem Fall, wenn ein Speicherungstrager durch einen 
Benutzer in den Leser/Codierer eingefuhrt wird, gibt der Benutzer 
seine Identif ikationsnummer auf der Tastatur des Leser/Codierers 
ein und der Leser/Codierer kann dann in der Tabelle die Signatur S 
und die Grofie DH, die dieser Benutzung zugeteilt sind, suchen und 
sie in den Speicher des Tragers laden. 

Selbstverstandlich kann man anders vorgehen, ohne dafi dies 
das Prinzip der Erfindung verindert. Die Signaturen konnen namlich 
nach und nach berechnet werden, entsprechend dem Bedarf, d.h. bei 
jeder Ladungsanf rage in den Speicherungstrager durch einen 
Benutzer. In diesem Fall ist es nicht notwendig, eine Tabelle 
abzuspeichern, die die verschiedenen Signaturen enthalt und die 
verschiedenen Grofien, von denen jede einen Benutzer betrifft. Der 
Benutzer gibt selbst seine eigene Grofie DH ein und es erfolgt erne 
Echtzeit-Berechnung durch den Leser/Codierer LE. 

Die erzeugten Signaturen konnen unterschiedlich sein, da 
die gewahlten Erzeugungsschlussel verschieden sind. Dieser 
Unterschied kann durch eine vorher festgelegte Grofie Z eingefuhrt 
werden, die ermdglicht, Benutzungszonen - entweder geographische 



Oder logische - zu unterscheiden. Es handelt sich urn eine 
logischen Zone, wenn es darum gent, in einem Informatiksystem den 
Zugriff auf gewisse Programme freizugeben und auf andere nicht. 

ErfindungsgemaS sind die Gebaude oder die einer Zugangs- 
kontrolle unterliegenden Systeme auSerdem mit einer Prufein- 
richtung des Typs elektronische Verriegelung ausgerustet, die in 
der speziellen, beschriebenen Anwendung gebildet wird durch einen 
Leser des Typs Kartenleser fur Karten mit bundig eingelassenen 
Kontakten, wie in Figur 2 dargestellt, oder einen kontaktlosen 
Leser oder einen Magnetstreifenleser, je nach verwendetem Trager. 

Dieser ■ Leser L enthalt auf klassische Weise eine 
Verarbeitungseinheit 200, gebildet durch einen Mikroprozessor und 
Speicher, die ihm zugeordnet sind: einen nichtf luchtigen Speicher 
201 und einen Arbeitsspeicher 202. Der Leser umfaSt auSerdem einen 
interne Uhr 203. In dem nichtf luchtigen Speicher (z.B. des Typs 
ROM) befindet sich einprogrammiert die verwendete 
Signaturprufungs-funktion f sowie der Schlussel K zum Prufen der 
Signaturen. 

Der Speicherungstrager umfaSt einen nichtf luchtigen 
Speicher 301, wobei man vorzugsweise einen elektrisch 
wiederprogrammierbaren Speicher wahlt (NV-RAM oder EEPROM) . Nach 
bestimmten Anwendungen kann der Speicherungstrager auSerdem eine 
Verarbeitungseinheit des Typs Mikroprozessor 300 mit einem 
zugeordneten Speicher 302 des Typs ROM umfassen, die eine oder 
mehrere Verschlusselungsfunktionen umfaSt. ' Ein solcher 
Speicherungstrager ist in Figur 3 schematisiert . 

Die Erfindung kann vorteilhaf terweise durch Brief trager fur 
den Zutritt zu Gebauden benutzt werden (und eventuell fur die 
Bi*i g£ less t en) 

Jeder Brief trager verfugt dann uber einen elektronischen 
Schlussel, der ihm innerhalb eines bestimmten Zeitbereichs den 
Zutritt zu alien Gebauden (und eventuell den Briefkasten dieser 
Hauser) einer bestimmten Zone ermoglicht. Dazu wird taglich in den 
Schlussel eine gewisse Anzahl charakteristischer Informationen 
bzw. Daten dieser Zone und dieses Bereichs eingeschrieben. 

Selbstverstandlich kann die Erfindung durch jede andere 
Organisation benutzt werden, die haufig Zutritt zu Gebauden haben 
muS. Bei dieser Anwendung sind alle in den elektronischen 



Verriegelungen enthaltenen, zu einer bestimmten Zone gehdrenden 
und eine bestimmte Organisation betreffenden Daten bzw. GroSen 
identisch und der im Besitz eines Mitglieds dieser Organisation 
befindliche elektronische Schlussel dient als elektronischer 
Passepartout . 

Dem Brieftrager wurde es nichts niitzen, den elektronischen 
Schlussel zu duplizieren, da dieser nach Ablauf der Benutzungs- 
dauer aufhort, den Zugang zu ermoglichen. 

Falls die Anzahl der Benutzungen innerhalb der betreffenden 
Periode begrenzt ist, liefert ihm jede in seine Karte geladene 
Signatur Sj ein Zugangsrecht und kann nicht wiederbenutzt werden. 
Dazu kann die Berechnung der Signatur vorher festgelegte Parameter 
aj utnfassen, die z.B. fur alle Karten gleich sein konnen. Diese 
Parameter sind in den Verriegelungen gespeichert . 
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1. Zugangskont roll system, umfassend: 

- tragbare Speichertrager (C) , 

- Einrichtungen (LE) , befahigt wenigstens einen elektronischen 
Schliissel zu liefern und ihn in den im Besitz eines Benutzers 
befindlichen Speichertrager einzuschreiben, urn ihm eine Zugangs- 
berechtigung zu den Systemen zu geben, die man zu schutzen 
versucht, wobei dieser Schliissel wenigstens eine GroSe DH 
umfafit, die einer festgelegten Zugangsberechtigungsperiode 
entspricht, 

- Einrichtungen (L) , eine elektronische Verriegelungsfunktion 
sicherstellend, befahigt ein Zugangsberechtungs signal (A) zu 
liefern, 

dadurch gekennzeichnet, dafi der gelieferte Schliissel ebenfalls 
eine Signatur S der Grdfie DH umfafit, wobei die zura Liefern dieses 
Schlussels befahigten Einrichtungen fahig sind, auf Anfrage des 
Benutzers fur jede neue Benutzungsperiode eine neue Signatur S zu 
erstellen und sie in seinen Speichertrager zu laden, urn ihm seine 
Zugangsberechtigung so oft wie ndtig zu erneuern; 

und dadurch gekennzeichnet , dafi die die Verriegelungsfunktion 
sicherstellenden Einrichtungen das Zugangsberechtigungssignal in 
dem Fall liefern, wo der Speichertrager (C) die Grofie DH und die 
fur die betreffende Benutzungsperiode erforderliche Signatur S im 
Speicher enthalt, wobei diese Einrichtungen fahig sind, die Grofie 
DH mit der betreffenden Periode zu vergleichen und zu uberprufen, 
ob die Signatur S tatsachlich die Signatur dieser Grofie DH ist. 

2. Zugangskontrollsystem nach Anspruch 1, dadurch gekenn- 
zeichnet, dafi die eine festgelegte Gultigkeitsperiode betreffende 
Grofie DH eine Benutzungsdatumsinformation und einen Benutzungs- 
stundenbereich umfafit. 

3. zugangskontrollsystem nach Anspruch 1 oder 2, dadurch 
gekennzeichnet, dafi die die Verriegelungsfunktion sicherstellenden 
Einrichtungen (L) einen internen Taktgeber (203) umfassen, urn dxe 
gespeicherte Grofie DH mit der durch den Taktgeber gelieferten 
Echzeit-Zeitgrofie H vergleichen zu konnen. 



4. Zugangskontrollsystem nach einem der Anspruche 1 bis 3, 
dadurch gekennzeichnet, daS die zum Lief em wenigstens eines 
Schlussels (LE) befahigten Einrichtungen eine Verarbeitungs- 
einrichtung (100) umfassen, verbunden mit wenigstens einem 
nichtfluchtigen Speicher (101), in dem die GroSe DH abgespeichert 
ist vind ein GroSensignaturalgorithmus f, so daS S - f (K, DH) , 
wobei K ein Geheimschlussel ist und der Algorithmus f ein 
Geheimschlussel- oder Of f entlicher-Schlussel-Algorithmus ist. 

5. zugangskontrollsystem nach Anspruch 4, dadurch 
gekennzeichnet, daS der zum Erstellen der Signaturen fur alle 
Trager (C) benutzte Geheimschlussel K fur alle in diesen Tragern 
(C) geladenen und erneuerten Signaturen derselbe ist. 

6. Zugangskontrollsystem nach einem der Anspruche 4 oder 5, 
dadurch gekennzeichnet, daS man, urn verschiedene geographische 
oder logische Benutzungszonen zu unterscheiden, dem zur Berechnung 
der Signatur S einer GroSe DH benutzten Geheimschlussel K eine je 
nach Zone unterschiedliche GroSe Z zuordnet. 

7. zugangskontrollsystem nach Anspruch 4, dadurch gekenn- 
zeichnet, daS man verschiedene Geheimschlussel K benutzt. urn die 
Signaturen zu erstellen, wobei pro festgelegter geographischer 
oder logischer Zone ein Geheimschlussel gewahlt wird 

8. Zugangskontrollsystem nach einem der Anspruche 5 oder 6, 
dadurch gekennzeichnet, dafi der benutzte Geheimschlussel ein Kg = 
Div (K, C) diversifizierter Schlussel ist, wobei C eine 
festgelegte GroSe und Div eine Diversif ikat ions funkt ion ist. 

9. zugangskontrollsystem nach einem der vorangehenden 
Anspruche, dadurch gekennzeichnet, daS der festgelegte 
Benutzungsstundenbereich DH durch mehrere auf einanderfolgende 
Stundenbereiche DHi gebildet wird, und dadurch, dafi die die 
elektronischen Schlussel liefernden Einrichtungen fur jeden dieser 
Bereiche eine Signatur Si erstellen. 

10. Zugangskontrollsystem nach einem der vorangehenden 
Anspruche. dadurch gekennzeichnet, daS mehrere Signaturen Sj 
berechnet und durch die zur Lieferung elektronischer Schlussel 
befahigten Einrichtungen CLE) in den Tragern der Benutzer 
abgespeichert werden, wobei man fur dieselbe GroSe DH diese 
Signaturen aufgrund eines Geheimschlussels K und einer 
Erzeugungsfunktion f erhalt, z.B. Sj = f (K, DH, aj), wobei aj 
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festgelegte und in den elektronischen Verriegelungen ab- 
gespeicherte Parameter sind. 

11. Zugangskontrollsystem nach einem der Anspruche 1 bis 3, 
dadurch gekennzeichnet, daS die die elektronische 
Verriegelungsfunktion (L) sicherstellenden Einrichtungen eine 
Verarbeitungseinheit (200) umfassen und wenigstens einen 
nichtfluchtigen Speicher (201) , in dem ein Signaturuberprufungs- 
algorithmus und ein Signaturuberprufungsschlussel abgespeichert 

sind. 

12. Zugangskontrollsystem nach Anspruch 11, dadurch 
gekennzeichnet, daS die die elektronische Verriegelungsfunktion 
(L) sicherstellenden Einrichtungen an das Lesen der Speichertrager 

(C) angepaSt sind. 

13. Zugangskontrollsystem nach Anspruch 12, dadurch 
gekennzeichnet, daS die die elektronische Verriegelungsfunktion 
(L) sicherstellenden Einrichtungen gebildet werden durch einen 
Leser fur Speicherkarten oder elektronische Schlussel. 

14. Zugangskontrollsystem nach Anspruch 13, dadurch 
gekennzeichnet, daS der Leser ein Leser fur Magnetkarten ist oder 
ein Leser fur Chipkarten mit bundig eingelassenem Kontakt oder fur 

Chipkarten ohne Kontakt. 

15. Zugangskontrollsystem nach einem der vorangehenden 
Anspruche, dadurch gekennzeichnet, daS die Speichertrager (C) 
einen wiederprogrammierbaren nichtfluchtigen Speicher umfassen 
(geschutztes bzw. gesichertes RAM, EEPROM) 

16. Zugangskontrollsystem nach Anspruch 15, dadurch 
gekennzeichnet, daS die Trager (C) gebildet werden durch 
Speicherkarten mit bundig eingelassenem Kontakt oder durch 
Speicherkarten mit kontaktfreier Lekture oder durch elektronische 
Schlussel oder durch Magnetkarten. 
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